IBM Cloud Docs
Informazioni sulle interfacce di rete virtuali

Informazioni sulle interfacce di rete virtuali

Una VNI (virtual network interface) è un'astrazione logica di un'interfaccia di rete in una sottorete. Può essere collegato a una risorsa di destinazione, fornendo a tale risorsa la connettività di rete. Come risorsa di livello superiore con un CRN, il ciclo di vita di un VNI è indipendente dalla risorsa di destinazione a cui è collegato (a meno che auto_delete sia impostato su true). Inoltre, ha una propria serie di autorizzazioni IAM.

Un VNI ha le seguenti proprietà che definiscono le politiche di rete:

  • IP primario e IP secondario
  • Gruppi di sicurezza
  • Spoofing IP
  • NAT infrastruttura
  • Filtro stato protocollo

Queste politiche sono preservate quando la VNI è scollegata da una destinazione e collegata a una destinazione differente. Le autorizzazioni per modificare le proprietà sono impostate sul VNI e non sulla destinazione del VNI.

I raccoglitori di log di flusso e IP mobili sono risorse che è possibile collegare a un VNI. Queste risorse collegate rimangono collegate alla VNI quando la VNI commuta il collegamento da una destinazione all'altra. Inoltre:

  • I riferimenti agli IP mobili collegati a una VNI sono richiamabili come raccolta secondaria della VNI.
  • Un raccoglitore di log di flusso collegato a una VNI può essere richiamato elencando i raccoglitori di log di flusso, filtrando per target.id e specificando il id della VNI.

Non tutte le risorse di destinazione supportate supportano tutte le politiche VNI. Per ulteriori informazioni, vedi Limitazioni note.

Vantaggi e funzionalità chiave

I punti salienti dell'interfaccia di rete virtuale includono:

  • La capacità di assegnare più indirizzi IP IPv4 privati secondari da una sottorete VPC.
  • L'opzione per definire e applicare i gruppi di sicurezza e le politiche IAM univoche per darti un maggiore controllo sulla sicurezza della rete.
  • Scalabilità e flessibilità per soluzioni ad alta disponibilità.
  • Esistenza senza essere collegati a un server e possibilità di passare da un'istanza o una risorsa a un'altra, riducendo il tempo di failover.
  • La capacità di collegare IP mobili, IP riservati primari / secondari e gruppi di sicurezza.

Considerazioni sulla pianificazione

Esaminare le seguenti considerazioni prima di creare una VNI:

  • La creazione di risorse con interfacce di rete secondarie continuerà ad essere supportata, ma le nuove funzionalità di rete, come gli indirizzi IP secondari, sono supportate solo sulle interfacce di rete virtuali.

  • Tutti gli indirizzi IP su un'interfaccia di rete virtuale devono trovarsi nella stessa sottorete.

  • Anche se un'istanza o un server bare metal non consentono una combinazione di tipi di interfaccia, una sottorete consente una combinazione di istanze e server bare metal, alcuni con interfacce di rete secondarie e altri con interfacce di rete virtuali.

  • È necessario configurare l'indirizzo IP primario quando si crea un'interfaccia di rete virtuale. È possibile configurare ulteriori indirizzi IP riservati (secondari) quando si crea l'interfaccia di rete virtuale oppure è possibile aggiungere in un secondo momento gli indirizzi IP secondari singolarmente. Tutti gli indirizzi IP secondari devono essere nella stessa subnet dell'indirizzo IP primario.

  • L'infrastruttura NAT converte l'indirizzo di destinazione dall'indirizzo IP pubblico assegnato tramite l'IP mobile all'indirizzo IP privato dell'istanza del server virtuale. È possibile configurare un indirizzo IP mobile su un'interfaccia di rete virtuale con NAT dell'infrastruttura abilitato. Un'interfaccia di rete virtuale configurata in questo modo può essere utilizzata da un'istanza o da un server bare metal.

  • Per un'interfaccia di rete virtuale che consente lo spoofing IP e ha l'infrastruttura NAT disabilitata, è possibile configurare più indirizzi IP mobili. Un'interfaccia di rete virtuale configurata in questo modo può essere utilizzata solo da un server bare metal.

  • Se la proprietà auto-delete di un'interfaccia di rete virtuale è impostata su false, se si elimina l'istanza del server virtuale, l'interfaccia di rete virtuale rimarrà. L'interfaccia di rete virtuale può quindi essere collegata a una risorsa di destinazione differente.

  • Dopo che una VNI si scollega da una destinazione, è possibile ricollegarla a uno dei seguenti:

    • Una nuova destinazione di montaggio della condivisione (se ip - spoofing è disabilitato, non ci sono IP secondari, il NAT dell'infrastruttura è impostato su true e il filtro dello stato del protocollo non è disabilitato)
    • Un nuovo collegamento di rete su un'istanza (se il NAT dell'infrastruttura è impostato su true)
    • Un nuovo collegamento di rete su un server bare metal (quando è supportato bare metal)

Modalità filtro dello stato del protocollo

Il filtro dello stato del protocollo monitora ogni connessione di rete che passa su una VNI (virtual network interface) e rilascia tutti i pacchetti non validi in base allo stato di connessione e al protocollo correnti. Se si utilizzano instradamenti ECMP bidirezionali, ad esempio gli instradamenti configurati per le configurazioni HA attive / attive su VNFs (Virtual Network Functions) duali, è possibile disabilitare il filtro per evitare la perdita di pacchetti. La disabilitazione del filtro consente i pacchetti consentiti dalle regole del gruppo di sicurezza e dagli ACL di rete, ma non forza ogni connessione TCP ad allinearsi con il protocollo TCP RFC 793.

È possibile scegliere una modalità di filtraggio dello stato del protocollo (auto, enable, disable) durante la creazione o l'aggiornamento di una VNI. Il valore predefinito (auto) abilita o disabilita il filtro in base al proprio tipo di risorsa di destinazione VNI. Se il tipo di destinazione è un server bare metal, il filtro è disabilitato; per un'istanza del server virtuale o un montaggio di condivisione file, il filtro è abilitato.

La modalità di filtro dello stato del protocollo è disponibile solo su una VNI. Sulle interfacce di rete vecchio stile, la modalità è invisibile e il comportamento è sempre impostato su auto.

Introduzione alle interfacce di rete virtuali

È possibile utilizzare una VNI per gestire gli indirizzi IP e i gruppi di protezione in una risorsa separata con un ciclo di vita indipendente dalla risorsa di destinazione.

  1. Assicurati di avere un VPC e una sottorete collegati. Per ulteriori informazioni, vedi la creazione delle risorse VPC utilizzando la IBM Cloud o la creazione con CLI e API.

  2. Esamina le considerazioni di pianificazione e qualsiasi problema e limitazione noti.

  3. Assicurati di disporre delle autorizzazioni IAM corrette per creare una VNI.

  4. Crea una interfaccia di rete virtuale con un indirizzo IP privato, un indirizzo IP pubblico e gruppi di protezione.

  5. Collega la tua VNI a una risorsa di destinazione supportata durante il provisioning della destinazione. Attualmente, esistono tre tipi di destinazione supportati:

    • Istanza server virtuale
      • Quando si esegue il provisioning di un'istanza, collegare la VNI alla risorsa secondaria del collegamento di rete principale. Consulta Creazione di istanze del server virtuale.
      • Se hai un'istanza del server virtuale esistente con un collegamento di rete primario, puoi eseguire il provisioning di un ulteriore collegamento di rete sull'istanza del server virtuale, collegando la VNI al nuovo collegamento di rete. Consultare Creazione di collegamenti di rete.
    • Server bare metal
      • Quando si esegue il provisioning di un server bare metal, collegare la VNI alla risorsa secondaria del collegamento di rete principale. Vedi Creating Bare Metal Servers on VPC.
      • Se hai un server bare metal esistente con un collegamento di rete primario, puoi eseguire il provisioning di un collegamento di rete aggiuntivo sul server bare metal, collegando la VNI al nuovo collegamento di rete. Consultare Creazione di collegamenti di rete.
    • Montaggio condivisione file

È anche possibile creare una VNI nel contesto del provisioning di ciascuna di queste destinazioni. In altre parole, non è necessario creare un VNI in anticipo. Successivamente, puoi eliminare l'istanza e conservare la VNI assicurandoti che --auto-delete sia false (switch Rilascio automatico ). È quindi possibile creare una nuova istanza utilizzando la stessa VNI.

Caso d'uso 1: Alta disponibilità con interfacce di rete virtuali

Le interfacce di rete virtuali riducono il tempo richiesto per passare a un'istanza di failover. In un'istanza del server virtuale che non utilizza le interfacce di rete virtuali, un failover richiede modifiche di instradamento che possono richiedere diversi minuti per la propagazione. Nel seguente esempio, hai un'istanza del server virtuale primaria configurata con un'interfaccia di rete e un'istanza del server virtuale di backup che ha la sua interfaccia di rete. Se l'istanza del server virtuale primario ha esito negativo, devi portare l'istanza del server virtuale di backup in linea e riconfigurare le tue rotte per utilizzare l'interfaccia di rete dell'istanza di backup.

![Metodo tradizionale di utilizzo delle interfacce di reteFlusso di "){: caption="](images/vni-use-case2.svg "delle interfacce di reteFlusso di lavoro tradizionale delle interfacce di " caption-side="bottom"}

Utilizzando un'interfaccia di rete virtuale, puoi spostarla da un'istanza all'altra. Il ciclo di vita indipendente dell'interfaccia di rete virtuale significa che conserva il proprio indirizzo IP e non è necessario riconfigurare gli instradamenti, riducendo il tempo di failover a secondi.

delle interfacce di rete virtuali*Flusso di lavoro delle interfacce di rete

Caso di utilizzo 2: indirizzi IP secondari con interfacce di rete virtuali

Un'istanza del server virtuale che esegue diverse istanze di un'applicazione può essere segmentata in modo che ogni istanza dell'applicazione abbia il suo proprio indirizzo IP.

In questo esempio, una singola istanza di server virtuale esegue tre istanze di un'applicazione di database SQL. Ogni istanza SQL deve avere il suo indirizzo IP. Utilizzando indirizzi IP secondari su un'interfaccia di rete virtuale, è possibile assegnare indirizzi IP diversi a ogni istanza dell'applicazione.

Indirizzi IP secondari in un'interfaccia di rete virtuale*Interfaccia di rete
IP secondari*Indirizzi IP secondari in un'
di rete virtuale

Supporto per i vecchi client API

Per compatibilità con i vecchi client, la risposta API fornisce una rappresentazione di sola lettura di ciascun collegamento di rete e della relativa interfaccia di rete virtuale associata come interfaccia di rete secondaria:

Mappatura delle proprietà dell'interfaccia di rete dell'istanza
proprietà Interfaccia di rete Associato da
allow_ip_spoofing virtual_network_interface.allow_ip_spoofing
created_at network_attachment.created_at
floating_ips virtual_network_interface.floating_ips
href network_attachment.href (/network_attachments viene sostituito con /network_interfaces)
id network_attachment.id
name network_attachment.name
port_speed network_attachment.port_speed
primary_ip virtual_network_interface.primary_ip
resource_type "interfaccia_rete"
security_groups virtual_network_interface.security_groups
status Vedere la tabella "Valori di stato dell'interfaccia di rete dell'istanza"
subnet virtual_network_interface.subnet
type network_attachment.type

Il valore status viene determinato in base alla tabella seguente:

Valori di stato dell'interfaccia di rete dell'istanza
Collegamento di rete lifecycle_state VNI lifecycle_state status
deleting qualsiasi deleting
qualsiasi deleting deleting
failed qualsiasi tranne deleting failed
qualsiasi tranne deleting failed failed
pending, suspended, updating, waiting qualsiasi tranne deleting o failed pending
qualsiasi tranne deleting o failed pending, suspended, updating, waiting pending
stable stable available
Mappatura delle proprietà dell'interfaccia di rete del server in metallo nudo
proprietà Interfaccia di rete Associato da
enable_infrastructure_nat virtual_network_interface.enable_infrastructure_nat
mac_address virtual_network_interface.mac_address
interface_type network_attachment.interface_type
allowed_vlans network_attachment.allowed_vlans
vlan network_attachment.vlan
allow_interface_to_float network_attachment.allow_interface_to_float